Вирус Recycler

[Hider]

Сразу же по закрытии вроде все в порядке, но при попытке окрыть диск С через "Мой компьютер" вылетает ошибка о невозможности доступа к какому-то "s-0-9-44..." и т.д. При этом проводником диск открывается и прекрасно выглядит.
Папка RECYCLER присутствует на всех логических дисках. Папка "recyleD" тоже.

Скачал обновление cureit, и моментально он прибил содержимое всех папок RECYCLER на всех логическим дисках, определив скрытые папочки "s-тра-та-та..." как "Trojan.Packed.2344"...
И все пришло в норму!

Недолго мучалась старушка

Схожая ситуация:

1. При попытке открыть диск (но не каждый) выдает сообщение:
---------------------------
RECYCLER\S-2-6-56-100021014-100016111-100015241-1314.com
---------------------------
Windows не удалось найти 'RECYCLER\S-2-6-56-100021014-100016111-100015241-1314.com'. Проверьте, что имя было введено правильно, и повторите попытку. Чтобы выполнить поиск файла, нажмите кнопку "Пуск", а затем выберите команду "Найти".
---------------------------
ОК
---------------------------

2. Запуск cureit выявил на дисках autorun.inf (сообщив о нем, что это возможно Win32.HLW.Autorunner.corrupter)

3. Папки RECYCLER и их содержимое cureit не чистит.

В чем проблема и как зачистить виря?

 

[Eli]

попробуй AVZ
зайди в мой дневник и там Ссылка на скачивание

 

[Hider]

попробуй AVZ
зайди в мой дневник и там Ссылка на скачивание

1. Весьма благодарен за подсказку. AVZ - нашел и скачал через яндекс.

2. Зайти в Дневник не смог. Выдается сообщение:

Вы не авторизованы на форуме или не имеете доступа к этой странице. Это могло произойти по одной из нескольких причин:
Вы не авторизованы на форуме. Введите имя пользователя и пароль и попробуйте ещё раз.
У вас недостаточно прав для обращения к этой странице.
Возможно, вы пытаетесь обратиться к функциям администратора или к другим привилегированным функциям.
Возможно, администратор отключил вашу учётную запись, или вы не активированы на форуме.

 

[Eli]

1. Весьма благодарен за подсказку. AVZ - нашел и скачал через яндекс.

2. Зайти в Дневник не смог. Выдается сообщение:

Вы не авторизованы на форуме или не имеете доступа к этой странице. Это могло произойти по одной из нескольких причин:
Вы не авторизованы на форуме. Введите имя пользователя и пароль и попробуйте ещё раз.
У вас недостаточно прав для обращения к этой странице.
Возможно, вы пытаетесь обратиться к функциям администратора или к другим привилегированным функциям.
Возможно, администратор отключил вашу учётную запись, или вы не активированы на форуме.

исправил

 

[Hider]

AVZ при запуске ни чего толком не нашел.

Через яндекс на сайте http://www.spyware-ru.com/flash_disinfector/
обнаружил небольшую программу чистки - Flash_Disinfector.exe, которая позволила удалить с дисков autorun.inf файлы.

В результате доступ к дискам разблокировался.

Удалось вручную удалить некотрые папки RECYCLER с их содержимым.

Однако, на двух дисках удаление оказалось не возможным с сообщением:
---------------------------
Ошибка при удалении файла или папки
---------------------------
Не удается удалить RECYCLER. Нет доступа.

Диск может быть переполнен или защищен от записи,
либо файл занят другим приложением.
---------------------------
ОК
---------------------------


Вирус блокирует?

Или ложная паника?

 

[7ubor6]

Ну и мученья, даже наипримитивнейший аваст уже умеет этот вирус удалять

 

[Hider]

Ну и мученья, даже наипримитивнейший аваст уже умеет этот вирус удалять

"Наипримитивнийший" оправдал свое определение ... авст не смог поймать вирус ... папки RECYCLER плодятся ... проблема не снимается.

 

[Diman]

Да если одна папка RECYCLER и там много корзин и даже папки бывают под видом корзины это нормально.А вот если много это нет.Я думаю вам надо отформотировать диски.Потомучто по другому вроде бы нельзя.Ну а то что бы написали что из за этого контакт взломался я думаю вряд ли из за этого....

 

[Hider]

Прошелся поисковиком по инету.

Народ рекомендует:

1. Программа unlocker

http://ccollomb.free.fr/unlocker/unlocker1.8.7.exe

Это небольшая бесплатная программа позволяет вручную удалять папки блокированные папки и определять процессы связанные с ограничениями удаления.

2. Не плохо справляется с подобными папками комбинация кнопок Shift + Del

Папки вновь рождаются, но уже содержат только скрытую папку под именем
S-1-5-21-1078081533-1482476501-682003330-1003
размером 83 байта.

Причина регинерации папки RECYCLER не понятна.

Прочесал диски почти всеми антивирусами и кое-что зачистил.

Обнаружилась любопытная деталь при одновременной работе Аваста и NODD.

Аваст просматривает файл из папки System Volume Information, щупает его и не видит виря. Следом идущий NODD ловит виря, хотя до этого самостоятельно в данном файле ни чего не находил.

 

[Hider]

Полагаю, проблема разрешена.

В данном случае информация хранилась в разделе реестра MountPoints2 для текущей учетной записи диска I:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\I\Shell\AutoRun\command

HKEY_USERS\S-1-5-21-1078081533-1482476501-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\I\Shell\Open\command

где значение содержало:

D:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-2-6-56-100021014-100016111-100015241-1314.com i:\

После удаления подраздела Shell в указанных разделах реестра проблема разрешилась.

Более подробно: http://netler.ru/pc/ravmon.htm

Весьма признателен всем откликнувшимся.

 

[Ravensee]

Программка Flash Guard хорошо их мочит , седня на ноуте ваще не мог войти на диск D , каспера поставил обновил базы и .... хрен, он не нашел RECYKLER'a ....теперь я сомневаюсь в касперском....
все перепробовал (через тотал коммандер конечно открывается диск) скрытые папки сделал видимыми ,и нифига....причем флеху вставлял в комп на работе ,а на работе у меня Симантэк (!!!) с новыми(!!!) базами и он тоже не нашел...странно , вот после скачивания и установки Flash Guard он эту заразу грохнул, на флехе, установил на ноут , нифига, проверил раз,второй - ноль, думаю надо перезагрузить машину,перезагрузил и О,ЧУДО , диск D открылся...Тэк што качайте и ставьте - непожалеете , она весит что то вроде мегабайта...Всем удачи...

 

[vvm1225]

Полагаю, проблема разрешена.

В данном случае информация хранилась в разделе реестра MountPoints2 для текущей учетной записи диска I:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\I\Shell\AutoRun\command

HKEY_USERS\S-1-5-21-1078081533-1482476501-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\I\Shell\Open\command

где значение содержало:

D:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-2-6-56-100021014-100016111-100015241-1314.com i:\

После удаления подраздела Shell в указанных разделах реестра проблема разрешилась.

Более подробно: Что делать, если после лечения от вирусов не открывается флешка?

Весьма признателен всем откликнувшимся.

После удаления подраздела Shell в разделах реестра, которые Вы указали, ОС XP перестанет определять все вновь подключаемые устройства (принтеры, сканеры, фото-видео камеры и т.д.

 

[Vintaly]

Проблему решил! Просто переименовал "@MountPoints2". Значит ее можно нафиг удалить эту папку))

 

[zorro_z]

System Volume Infomation - это не подозрительная папка, а системная. Ее трогать не рекомендую вообще))). Если мне не изменяет память, она отвечает за восстановление системы в случае сбоев, и т.п.

Но ведь эта папка возникает на флэшке. И ее оттуда ничем невозможно удалить. Как быть? Как очистить флэшку от этой папки, которая занимает оооочень много места!

 

[zorro_z]

да, если бы всё было так просто!!! каждый раз, когда я подсоединяю съёмные носители, у меня на них заново появляются скрытые папки recycler и autorun, я их удаляю, но при новом запуске они опять появляются, антивирусник на них реагирует! (аваст, drweb нет) значит, комп всё-таки заражён!

У меня аналогичная картина. Причем, не все флэшки такие. но многие (чужие) приходят именно с этими авторанами и ресиклерами и на них реагирует AVAST.

 

[Eli]

такая папка будет везде!!!! создается системой на любом разделе .
но не должна быть на флешь дисках.

удаление таких папок можно делать спокойно из под линукса...

говоришь что место занимает? а зайти в нее можно? ты не ставиль портативный виндовс на флешку?

название точно System Volume Infomation ?
так же сделай скан антивирусом.

 

[Ваша охрана]

Ресуслер

Это вирус
recycler очень опасный вирус
При запуске сильно кричит страшным голосом 2-3 сек,запускается когда захочет
Он переносится на флешках и может запустится даже на телефоне
Он заменяет стандартную папку корзины
После форматирования жесткого диска остается
При удалении папки восстанавливается
отключает проводник
Удаляется только касперским так как больше ни в какой базе его нет.

 

[Mikael]

Сегодня ночью сканировал компьютер Авастом в режим до загрузки операционной сис темы и он нашел - C:\RECYCLER\S-1-5-21-73586283-1592454029-682003330-500\DC9.rar|DC9.rar|> Microsoft Genuine Advantage Validation v6 [ChattChitto RG\Microsoft Genuine Advantage Validation v6 [SP].exe inficirovan virusom Win32ropper-DRK[PUP] -на мои попытки его удалить аваст не поддался, переместить в хранилище-тоже не удалось, лечить-тоже самое -нет, нажал пропустить и сканирование возобновилось. Пытался найти сам этот recycler - винда его не нашла (винда хр сп3), внешне никак не проявляется. Уж не знаю что и думать... подскажите?

 

[Mikael]

А смайлик тот зеленый я не ставил, там буква д английская...

 

[Big_Muzzy]

censored
здесь почитайте как восстановить информацию на флэшке, вернуть папки и убрать ярлыки, а так же защитить флэшку от повторного заражения...

Не стОит поднимать темы годичной давности.